Güvenlik araştırmacıları, saldırganların etkilenen sistemlerde kimlik doğrulaması yapmadan keyfi komutlar yürütmesine izin veren popüler bir dosya aktarım sunucusu çözümü olan Crushftp’de kritik bir sıfır günlük güvenlik açığı açıkladılar.
CVE-2025-54309 olarak izlenen güvenlik açığı, maksimum CVSS skoru 9.8 atandı ve savunmasız crushftp tesisatları yürüten kuruluşlar için derhal bir tehdit oluşturuyor.
Kimlik Doğrulama Bypass, tam sistem uzlaşmasına yol açar
Güvenlik açığı, Crushftp’in DMZ proxy uygulamasında temel bir güvenlik hatasından kaynaklanmaktadır.
Tipik dağıtımlarda, bu proxy, genel İnternet ve dahili yönetici sunucuları arasında koruyucu bir bariyer görevi görür.
Bununla birlikte, kusur, saldırganların/webterface/function/uç noktasına özel olarak hazırlanmış HTTP post istekleri göndererek kimlik doğrulamasını tamamen atlamasına izin verir.
Güvenlik araştırmacıları açıklamalarında, “Sunucu yanlışlıkla kimlik doğrulanmamış istekleri işler ve saldırganlara doğrudan komut yürütme yetenekleri temel işletim sistemine veriyor” diye açıkladı.
Bu, etkilenen sistemlere anında idari erişim sağladığı için mümkün olan en ciddi güvenlik açıklarından birini temsil eder.
Birincil sömürü yöntemi, System.exec işlevini uzaktan yürütmek için XML-RPC’yi (XML Uzaktan Yordam Çağrısı) kullanır.
Saldırı, sunucunun uygun kimlik doğrulama doğrulaması olmadan işlediği kötü amaçlı XML yüklerinin gönderilmesini içerir.
Tipik bir saldırı yükü aşağıdaki gibi görünür:
system.exec
id
Savunmasız sunucu bu yükü aldığında, belirtilen komutu yürütür ve çıktıyı etkili bir şekilde uzak kabuk arayüzü sağlayarak saldırgana döndürür.
Konsept kanıtı gerçek dünyadaki etkiyi gösterir
Araştırmacılar, GitHub’da tam bir kavram kanıtı yayınladılar ve doğrudan komut yürütme, giriş formları aracılığıyla komut enjeksiyonu ve yetkisiz dosya yüklemeleri dahil olmak üzere birden fazla saldırı vektörünü gösterdiler.
POC betiği keşif yetenekleri ve çeşitli yük seçenekleri sunar.
Temel sömürü basit komutlar kullanılarak gerçekleştirilebilir:
python3 exploit.py 192.168.1.100 -c "uname -a"Komut dosyası ayrıca, giriş parametreleri aracılığıyla komut enjeksiyonu da dahil olmak üzere alternatif saldırı yöntemlerini de destekler:
python3 exploit.py 192.168.1.100 -p cmd_inject -c "whoami"Bu teknik, yönetici ‘; whoami;#gibi yükleri kullanarak kullanıcı adı alanlarına komutlar enjekte ederek SQL enjeksiyon benzeri güvenlik açıklarından yararlanır.
Güvenlik açığı, üç kritik faktör nedeniyle maksimum CVSS skorunu alır: kimlik doğrulama gereksinimi yok, tam uzaktan erişilebilirlik ve tam sistem uzlaşma özellikleri.
Saldırganlar, hassas verileri çalmak, kötü amaçlı yazılım yüklemek veya ek ağ kaynaklarına döndürmek için bu kusuru internetin herhangi bir yerinden kullanabilir.
Crushftp çalıştıran kuruluşlar, savunmasız uç noktalara yetkisiz erişimi engellemek için derhal mevcut yamalar uygulamalı veya ağ düzeyinde korumalar uygulamalıdır.
Çalışma istismar kodunun yayınlanması, iyileştirme çabaları için aciliyeti önemli ölçüde artırır.
Sistem yöneticileri ayrıca, herhangi bir uzlaşma belirtisi belirlemek için kapsamlı güvenlik değerlendirmeleri yapmalıdır, çünkü güvenlik açığı kamuya açıklanmadan önce kullanılmış olabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!